Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe] 'Debugger' = 'defzkmixer.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- opera.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\defzkmixer.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'al######ub.servegame.com':80
- 'mu#####er.sendsmtp.com':80
- 'ti####ace.my03.com':80
- '74.##5.232.51':80
- 'vi##ns.net':80
- 'br##tox.com':80
TCP:
Запросы HTTP GET:
- 74.##5.232.51/
Запросы HTTP POST:
- mu#####er.sendsmtp.com/dot/?-2#########
- ti####ace.my03.com/dot/?-2#########
- al######ub.servegame.com/dot/?-2########
- vi##ns.net/dot/?92#######
- br##tox.com/dot/?12########
UDP:
- DNS ASK al######ub.servegame.com
- DNS ASK mu#####er.sendsmtp.com
- DNS ASK ti####ace.my03.com
- DNS ASK na##vo.com
- DNS ASK www.google.com
- DNS ASK vi##ns.net
- DNS ASK br##tox.com
